개정 정보통신망법은 그간 끊이지 않는 개인정보유출 사고로 인한 국민들의 피해를 줄이고 정보보호 수준을 높이기 위해 마련됐다.

개정 방향은 개인정보보호조치 강화가 주 내용이며 법위반자에 대한 처벌강화, 손해배상 제도의 보완 등을 통한 권리구제의 강화, 광고정보에 대한 규제 강화 등의 양상을 띠고 있다.

◆개인정보 범위 확대·피해 구제 조치 강화=먼저 개정법은 개인정보 최소수집의 원칙을 원점에서 다시 정립했다. 개인정보의 최소수집의 원칙은 오래전부터 매우 중요한 개인정보보호 수칙으로 여겨져 왔다. 하지만 최소수집이 가진 단어적인 한계로 인해 어디까지가 최소수집인지는 해석이 모호했다.

개정 정보통신망법에서는 ‘필요한 최소한의 개인정보는 해당 서비스의 본질적 기능을 수행하기 위해 반드시 필요한 정보를 말한다’라고 규정해 최소정보의 정의를 내렸다. 여기서 ‘서비스를 제공하기 위해 반드시 필요한 정보’가 최소정보가 되게 된다.

또 개정법은 개인정보의 수집범위를 더 축소시켰다. 과거에는 민감정보를 비롯해 사상, 신념, 병력(病歷) 등 개인의 권리를 침해할 우려가 있는 개인정보의 수집을 불허했다.

하지만 개정법은 ▲가족 및 친인척관계 ▲학력(學歷) ▲기타 사회활동 경력 등도 포함시켰다. 이는 지금까지 기업들이 개인의 사생활정보를 과도하게 수집하는 행태를 예방할 수 있을 것으로 보인다. 다만 개인정보보호법에는 해당 조문이 없어 혼선이 우려되는 상황이다.

개인정보유출에 대한 피해자 구제 제도가 강력해진 것이 개정법의 핵심이다. 개정법에는 법정손해배상제도가 신설됐다.

개인정보유출로 인해 피해를 본 사용자는 이에 대한 손해배상을 청구할 수 있다. 하지만 이를 위해서는 피해자가 직접 피해 사실과 손해액을 입증해야 하는 불합리함이 존재한다.

개정법에는 법정손해배상제도가 도입됐다. 이는 피해자의 손해 입증이 없더라도 법률에 규정된 손해액을 기준으로 배상액을 산정해 주는 제도다.

개정 정보통신망법이 시행됨에 따라 개인정보유출 피해자들은 최고 300만원 이하의 손해배상금을 별도의 입증이 없더라도 보상을 받을 수 있다.

손해배상 청구 기간도 늘어났다. 피해자는 통지를 받은 날로부터 3년이나, 유출된 날로부터 10년 안에 손해배상을 청구하면 3백만 원까지 보상받을 수 있다

◆기업의 의무와 제재수위 강화=개정법은 기업이 개인정보보호 규정을 위반했을 때의 제재를 강화했다.

먼저 기업이 개인정보를 유출시켰을 경우의 과징금이 관련 매출액의 1%이하였으나 개정법에는 3%이하로 상향조정됐다.

개정안 발표 당시 이 조항을 놓고 이동통신사들과 인터넷서비스업체들은 강력히 비판했다. 개인정보유출로 인한 리스크가 너무 크다는 것이 이유였다. 하지만 방송통신위원회는 “개인정보보호를 위해 기업들의 안일한 대처를 사전에 차단하겠다”고 밝히며 개정을 강행했다.

또 개인정보유출시 부과되던 1억원 이하의 정액 과징금 제도 대신 관련 매출액 3% 이하의 정률 과징금 제도로 통합됐다.

개인정보유출 사고로 인해 행정기관이 과징금을 부과할 때 인과관계를 입증하지 않아도 되는 조항도 신설됐다.

과거에는 개인정보유출 사고가 발생해도 관리적·기술적 조치를 취해 인과관계가 모호할 경우 과징금을 부과하기가 사실상 불가능했다. 이는 ‘특정 행위를 취하지 않았기 때문에 해킹이 발생했다’라는 것을 입증하기가 어렵기 때문이다.

개정법은 이를 보완해 개인정보 유출 사실과 기술적 보호조치 위반 사실만 있으면 이 사이의 관계를 입증하지 않더라도 과징금 부과가 가능해졌다.

이외에도 개인정보의 파기방법이 구체화된 것도 주목된다. 개인정보보호법과 달리 정보통신망법은 파기방법에 대해서는 언급돼 있지 않다. 개정법에는 이를 보완해 ‘복구·재생할 수 없도록 파기’하라는 방법을 규정했다.

이는 단순히 파일, DB삭제로 그치는 것이 아니라 로우레벨 포맷이나 물리적 파괴와 같은 강력한 조치를 지정한 것으로 볼 수 있다. 이를 통해 불법적으로 재생된 개인정보의 유출과 오남용을 막을 수 있을 것으로 보인다.

<이민형 기자>kiku@ddaily.co.kr